Wins Security Information

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향Microsoft Exchange ProxyToken 버그로 사용자 이메일 도난 가능
작성일 2021-08-31 조회 201


ProxyToken으로 명명된 Microsoft Exchange Server에서 대상 계정의 전자 메일에 액세스하는 데 인증이 필요하지 않은 심각한 취약점에 대한 기술적 세부 정보가 나타났다.


공격자는 ECP(Exchange Control Panel) 응용 프로그램 내에서 웹 서비스에 대한 요청을 조작하여 피해자의 받은 편지함에서 메시지를 훔쳐 취약점을 악용할 수 있다.


CVE-2021-33766으로 추적되는 ProxyToken은 인증되지 않은 공격자가 이메일 전달 규칙을 정의할 수 있는 사용자 사서함의 구성 옵션에 접근할 수 있도록 한다.


그 결과 대상 사용자를 대상으로 하는 이메일 메시지도 공격자가 제어하는 계정으로 전달될 수 있다.


이 버그는 베트남 우정통신그룹(VNPT-ISC) 정보보호센터 연구원이 발견해 지난 3월 ZDI(Zero-Day Initiative) 프로그램을 통해 보고했다.


그는 Microsoft Exchange의 프론트엔드 사이트(Outlook Web Access, Exchange Panel)가 인증 요청을 전달하는 백엔드 사이트(Exchange Back End)의 프록시 역할을 주로 한다는 것을 발견했다.


"위임 인증" 기능이 활성화된 Microsoft Exchange 배포에서 프런트엔드는 인증이 필요한 요청을 백엔드로 전달하며, 'SecurityToken' 쿠키의 존재로 요청을 식별한다.

 

 

 

[그림 1. 인증 요청 및 요청 식별 코드]

 


'/ecp' 내의 요청에 비어 있지 않은 'SecurityToken' 쿠키가 있는 경우 프런트엔드는 인증 결정을 백엔드에 위임한다.


그러나 Microsoft Exchange의 기본 구성은 백엔드 ECP 사이트에 대해 유효성 검증 프로세스 위임을 담당하는 모듈(DelegatedAuthModule)을 로드하지 않는다.


"요약하면 프런트 엔드가 SecurityToken 쿠키를 볼 때 백 엔드만이 이 요청을 인증할 책임이 있다는 것을 알고 있는 한편, 백엔드는 DelegatedAuthModule이 특별 위임 인증 기능을 사용하도록 구성되지 않은 설치에 로드되지 않기 때문에 SecurityToken 쿠키를 기반으로 들어오는 일부 요청을 인증해야 한다는 것을 완전히 인식하지 못한다." - Zero-Day Initiative


ProxyToken 취약점을 악용하는 것은 사소한 문제일지라도 다른 문제 없이는 완전하지 않아, /ecp 페이지에 대한 요청에는 HTTP 500 오류를 트리거할 때 얻을 수 있는 "ECP canary"라는 티켓이 필요하다.


결과적으로 티켓이 없는 요청은 인증되지 않은 요청을 성공적으로 발행하는 데 필요한 유효한 문자열이 포함된 HTTP 500 오류를 트리거한다.

 



[그림 2. ECP canary 티켓이 포함된 HTTP 500 응답]

 

 

Microsoft의 공개 권고에 따르면 패치는 7월부터 Microsoft부터 제공되고 있으며, Rapid7의 Tom Sellers는 버전 번호와 날짜가 패치가 빠르면 4월에 출시되었음을 나타낸다고 언급했다.


공격자는 공격 대상자와 동일한 Exchange 서버에 계정이 필요하기 때문에 취약점은 치명적이지 않아, NIST는 심각도 점수를 10점 만점에 7.5점으로 계산했다.


예를 들어 공격자의 요청은 다음과 같다.

 

 


[그림 3. 공격자의 요청]

 


Zero-Day Initiative는 오늘 블로그 게시물에서 일부 Exchange 서버 관리자가 임의의 대상으로 이메일 전달 규칙 생성을 허가하는 글로벌 구성 값을 설정했다는 점에 주목하며, 이 경우 공격자는 자격 증명이 필요하지 않다.


ProxyToken에 대한 기술적 세부사항이 오늘에서야 공개되었지만 공격 시도는 빠르면 3주 전에 기록되었다.


NCC 그룹의 레드 팀인 Rich Warren에 따르면 그는 8월 10일에 더 많은 공격 시도를 보았다.

 

 


[그림 4. 8월 10일 발생한 공격 시도]

 

 

ProxyShell 취약점의 경우와 마찬가지로 Microsoft Exchange 서버의 관리자가 ProxyToken용 패치를 설치하지 않은 경우 작업의 우선 순위를 지정해야 한다.

 

 

 

출처
https://www.bleepingcomputer.com/news/security/microsoft-exchange-proxytoken-bug-can-let-hackers-steal-user-email/

첨부파일 첨부파일이 없습니다.
태그 ProxyToken  Microsoft Exchange  CVE-2021-33766